Интеграция 1С:Предприятие с системой единого входа на базе OIDC 

Общие сведения

В статье описывается настройка интеграции 1С:Предприятие с внешней системой аутентификации по протоколу OIDC

Возможные способы аутентификации:

• Мобильное приложение
• Telegram
• OTP
• SMS

Системные требования:

1. Компоненту необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS);
2. 1С:Предприятие версии 8.3.14 или выше.
3. Для использования SSO Вам потребуется установить и настроить Портал Самообслуживания (SSP) не ниже версии 3.0.42 .

Схема работы

• 1c и MULTIFACTOR устанавливают взаимное доверие путем обмена настройками и секретом и настройкой единого адреса входа (Sigle Sign-On).
• При запросе на аутентификацию, 1c переадресует пользователя на страницу MULTIFACTOR.
• MULTIFACTOR отправляет пользователя на страницу поставщика учетных записей, который должен совпадать с email, передаваемым провайдером (см. authenticationClaimName = «email» в default.vrd).
• После подтверждения первого фактора, MULTIFACTOR запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в 1с.

Настройка MULTIFACTOR

1. Установите и настройте Портал Самообслуживания (SSP).

2. Зайдите в личный кабинет, в разделе Ресурсы создайте новый Сайт → OAuth / OpenID приложения:
3. Название: произвольное.
4. Поставщик учетных записей: Active Directory.
5. Адрес портала: адрес Вашего настроенного портала
6. Авторизованные URI переадресации: ваш домен.ru/название базы опубликованной/authform.html
7. Вы можете включить самостоятельную настройку второго фактора при первом входе пользователя.
8. Сохраните настройки;
9. После создания вам будут доступны два параметра: Client ID и Client Secret, они потребуются для интеграции.

Настройка со стороны 1С:Предприятие

Чтобы открыть каталог опубликованной базы 1С, необходимо предварительно выполнить её публикацию на веб-сервере IIS.

Публикация Базы

Откройте 1С:Предприятие от имени администратора → Конфигуратор→ Администрирование → Публикация на веб-сервере.

После чего задаём имя и нажимаем Опубликовать

Подтверждаем публикацию и нажимаем Да для перезапуска веб-сервера.

Прейдите в каталог опубликованной базы 1С (по умолчанию это C:\inetpub\wwwroot\[Имя_публикации]), чтобы отредактировать файл конфигурации default.vrd.

Найдите в файле последний последний </point> и перед ним укажите данную конфигурацию:

<openidconnect>
    <providers>
      <![CDATA[
        [
            {
                "name": "MF",
                "title": "MF",
                "authenticationClaimName": "email",
        "authenticationUserPropertyName": "email",
                "providerconfig": {
                    "issuer": "https://access.multifactor.ru",
                    "authorization_endpoint": "https://idp.multifactor.ru/oidc",
                    "token_endpoint": "https://api.multifactor.ru/openid/token",
                    "response_types_supported": [
                        "code",
                    ],
                    "scopes_supported": [
                        "openid",
                    ],
                    "jwks_uri": "https://api.multifactor.ru/.well-known/jwks.json",
                    "userinfo_endpoint": "https://api.multifactor.ru/openid/userinfo"
                },
                "clientconfig": {
                    "authority": "https://idp.multifactor.ru/oidc",
                    "client_id": "Client ID Вашего ресурса из Личного кабинета",
          "client_secret" : "Client Secret Вашего ресурса из Личного кабинета",
                    "redirect_uri": "https://1c.example.ru/name/authform.html",
                    "response_type": "code",
                    "scope": "openid email"
                }
            }
        ]
        ]]>
    </providers>

    <allowStandardAuthentication>true</allowStandardAuthentication>
</openidconnect>

конфигурация параметров

Параметр	Значение	Описание
authenticationClaimName	«email»	Имя поля claim в ID-токене, которое будет использоваться для поиска пользователя в базе 1С. Указывает, что искать пользователя нужно по его email.
authenticationUserPropertyName	«email»	Имя свойства пользователя 1С, с которым будет сравниваться значение из authenticationClaimName.
authority	"https://idp.multifactor.ru/oidc"	Базовый адрес сервера авторизации. Служит точкой для построения всех остальных запросов.
client_id	"rs_Client ID Вашего ресурса из Личного кабинета"	Идентификатор клиента. Client ID Вашего ресурса из Личного кабинета.
client_secret	"Client Secret Вашего ресурса из Личного кабинета"	Секретный ключ клиента. Client Secret Вашего ресурса из Личного кабинета
redirect_uri	"https://1c.example.ru/name/authform.html"	Адрес перенаправления. URL на вашем сайте (в 1С), куда провайдер вернёт пользователя после успешной аутентификации. Должен строго совпадать с тем, что указан в настройках приложения у провайдера Формат следующий: https://1c.example.ru/name/authform.html где: example.ru — это домен 1с. name — наименование базы.
response_type	"code"	Тип ответа. Говорит провайдеру, что мы хотим получить авторизационный код (не путать с готовым токеном).
scope	"openid email«	Запрашиваемые разрешения. Просим провайдера дать нам базовый профиль (openid) и адрес электронной почты (email) пользователя.

Выглядеть это будет следующим образом:

Сохраняем файл и переходим в Конфигуратор→ Администрирование → Пользователи.
Для настройки аутентификации пользователей необходимо:

1. В поле Имя укажите email — он должен совпадать с email, передаваемым провайдером (см. authenticationClaimName = "email» в default.vrd).
2. Установите галочку Аутентификация OpenID Connect.
   

Настройка витрины Single Sign-On

Чтобы включить SSO, выполните следующие действия:

Зайдите в личный кабинет, в разделе SSO → Витрина, переключите чекбокс Включить витрину.

Далее укажите ресурс, созданный Вами ранее ( OAuth / OpenID приложением), после чего заполните следующие параметры:

Где:

1. Укажите ранее настроенный Вами портал самообслуживания.
2. Включите витрину.
3. Укажите ранее настроенный Вами ресурс (OAuth / OpenID приложение).
4. Произвольное название ресурса.
5. Ссылка для перехода на домен 1С:Предприятия (обязательно без /) .
6. Логотип ресурса.
7. Сохранение настроек.

После указания всех настроек в данном разделе, Ваше 1С:Предприятие отображаться на главной странице SSO.